מתקפת סייבר על ישראל: גוגל חשפה קבוצת האקרים איראנית
במסגרת מחקר שביצעה חברת מנדיאנט, זוהתה פעילות ריגול של חבורה המזוהה עם משמרות המהפכה ותוקפת את מגזרי התעופה, החלל והביטחון. במסגרת התקיפה נעשה שימוש בתוכן שמקושר באופן ישיר למלחמה עם חמאס, כולל התחזות לתנועה להשבת החטופים. בין מגוון שיטות ההסוואה: פישינג, הפצת אתרים מזויפים ושימוש בתשתיות ענן
אבטחת מידע וסייבר (צילום pexels, freepik, pixabay)
במסגרת מחקר שביצעה חברת מנדיאנט (Mandiant) השייכת לגוגל, זוהתה פעילות ריגול חמורה מצד קבוצת סייבר החשודה כאיראנית, הפועלת לכל הפחות מאז חודש יוני 2022 ותוקפת את מגזרי התעופה, החלל והביטחון במדינות במזרח התיכון, בפרט ישראל ואיחוד האמירויות, וייתכן שגם את טורקיה, הודו ואלבניה.
לפי הדו"ח, פעילות הסייבר משויכת לקבוצה איראנית הנקראת UNC1549 וקשורה לקבוצת Tortoiseshell שזוהתה בעבר עם משמרות המהפכה. הקשר למשמרות המהפכה האיראניות משמעותי בפרט על רקע מלחמת חרבות ברזל ולאור המתיחות הגועה בין ישראל ואיראן.
קבוצת התקיפה פעילה לפחות מאז יוני 2022, והקמפיין נותר פעיל נכון לפברואר 2024. המודיעין שנאסף על גופים אלה רלוונטי לאינטרסים האסטרטגיים של איראן, ועלול להיות מנוצל לצורכי ריגול וכן לפעולות קינטיות (התקפיות). במסגרת התקיפה נעשה שימוש בתוכן שמקושר באופן ישיר למלחמה עם חמאס, כולל התחזות לתנועת "Bring Them Home Now" שקוראת להשבת החטופים הישראלים משבי החמאס.
האתר המתחזה בו השתמשה קבוצת הסייבר האיראנית (צילום: גוגל)
מלבד תוכן שקשור למלחמה עם חמאס, הקבוצה משתמשת בהצעות עבודה מזויפות כדי להפיץ את הנוזקות שלה - בפרט בתחומי הביטחון והטכנולוגיה. כך לדוגמה הקבוצה השתמשה באתר שמתחזה לחברת בואינג (Boeing) כדי להפיץ את הנוזקה MINIBIKE, וגם כדי לגנוב סיסמאות באמצעות עמודי התחברות (login) מזויפים.
עמוד login מזויף במסגרתו פעלה קבוצת הסייבר האיראנית (צילום: גוגל)
עוד עלה מהדו"ח כי ההאקרים משתמשים במגוון שיטות להסוואת הפעילות שלהם, בהן הנדסה חברתית הכוללת שליחת הודעות פישינג והפצת אתרים מזויפים להורדת נוזקות, שימוש נרחב בתשתית הענן של מיקרוסופט (Azure) - שתקשורת מולם עשויה להיראות כמו פעילות לגיטימית, ושימוש בתשתיות בישראל ובאיחוד האמירויות (שעשויות להקשות על זיהוי פעילות זדונית של הקבוצה).
הדו"ח המלא מתאר את פעילות הקבוצה מאז 2022, ההתפתחות של הכלים שלה, תשתיות הענן הרבות שנמצאות בשימוש שלה, ושיטות ייחודיות של הקבוצה שלטענת החוקרים, לא נצפו עד כה בפעילות של קבוצות תקיפה איראניות אחרות.
